Los investigadores han identificado una pequeña pero potente APT vinculada a China que ha volado bajo el radar durante casi una década realizando campañas contra organizaciones gubernamentales, educativas y de telecomunicaciones en el sudeste asiático y Australia.
Investigadores de SentinelLabs dijeron que el APT, al que llamaron Aoqin Dragon, ha estado operando desde al menos 2013. La APT es "un pequeño equipo de habla china con una posible asociación con [una APT llamada] UNC94", informaron.
Los investigadores dicen que una de las tácticas y técnicas de Aoqin Dragon incluye el uso de documentos maliciosos de temática pornográfica como cebo para atraer a las víctimas a descargarlos.
"Aoqin Dragon busca el acceso inicial principalmente a través de exploits de documentos y el uso de dispositivos extraíbles falsos", escribieron los investigadores.
Las tácticas de sigilo en evolución del dragón Aoqin
Parte de lo que ha ayudado a Aoqin Dragon a permanecer bajo el radar durante tanto tiempo es que han evolucionado. Por ejemplo, los medios que la APT utilizó para infectar las computadoras objetivo han evolucionado.
En sus primeros años de operación, Aoqin Dragon se basó en la explotación de vulnerabilidades antiguas, específicamente, CVE-2012-0158 y CVE-2010-3333, que sus objetivos aún podrían no haber parcheado.
Más tarde, Aoqin Dragon creó archivos ejecutables con iconos de escritorio que los hacían parecer carpetas de Windows o software antivirus. Estos programas eran en realidad goteros maliciosos que plantaron puertas traseras y luego establecieron conexiones con los servidores de comando y control (C2) de los atacantes.
Desde 2018, el grupo ha estado utilizando un dispositivo extraíble falso como su vector de infección. Cuando un usuario hace clic para abrir lo que parece ser una carpeta de dispositivo extraíble, de hecho inicia una reacción en cadena que descarga una puerta trasera y una conexión C2 a su máquina. No solo eso, el malware se copia a sí mismo en cualquier dispositivo extraíble real conectado a la máquina host, para continuar su propagación más allá del host y, con suerte, en la red más amplia del objetivo.
El grupo ha empleado otras técnicas para mantenerse fuera del radar. Han utilizado el túnel DNS, manipulando el sistema de nombres de dominio de Internet para colar datos más allá de los firewalls. Un apalancamiento de puerta trasera, conocido como Mongall, cifra los datos de comunicación entre el host y el servidor C2. Con el tiempo, dijeron los investigadores, la APT comenzó a trabajar lentamente la técnica del disco extraíble falso. Esto se hizo para "calificar el malware para protegerlo de ser detectado y eliminado por los productos de seguridad".
Enlaces Estado-nación
Los objetivos han tendido a caer en unos pocos grupos: gobierno, educación y telecomunicaciones, todo en el sudeste asiático y sus alrededores. Los investigadores afirman que "el ataque al dragón Aoqin se alinea estrechamente con los intereses políticos del gobierno chino".
Otra evidencia de la influencia de China incluye un registro de depuración encontrado por los investigadores que contiene caracteres chinos simplificados.
Lo más importante de todo, los investigadores destacaron un ataque superpuesto contra el sitio web del presidente de Myanmar en 2014. En ese caso, la policía rastreó los servidores de comando y control y correo de los piratas informáticos hasta Beijing. Las dos puertas traseras principales de Aoqin Dragon "tienen una infraestructura C2 superpuesta", con ese caso, "y la mayoría de los servidores C2 se pueden atribuir a usuarios de habla china".
Aún así, "identificar y rastrear adecuadamente a los actores de amenazas estatales y patrocinados por el estado puede ser un desafío", escribió Mike Parkin, ingeniero técnico senior de Vulcan Cyber, en un comunicado. "SentinelOne que publica la información ahora sobre un grupo APT que aparentemente ha estado activo durante casi una década, y no aparece en otras listas, muestra lo difícil que puede ser 'estar seguro' cuando se identifica un nuevo actor de amenazas".